Можно ли с помощью PBR настроить Redirect на определенный L2 порт а не на next hop IP?
Добрый день.
Подскажите, есть ли возможность с помощью PBR или других механизмов настроить "жесткое" перенаправление трафика на определенный порт маршрутизатора.
В качестве примера: Маршрутизатор пропускает через себя трафик подсетей 10.172.60.0/24 и 10.172.70.0/24. Штатно они идут через порт Eth0. К Eth1 подключена железка которая "не видна" маршрутизатору (не умеет отвечать на ARP). Так вот можно ли перенаправить с помощью PBR все пакеты где src IP из 10.172.70.0/24 (или по фильтру dst IP) в порт Eth1?
железка представляет из себя прозрачный l2 dpi? тогда вам надо настраивать коммутацию/маршрутизацию сквозь него, т.е. ставить два роутера и между ними железку. либо же можно настроить port-mirror
Wexter, Два роутера действительно есть, но это выход в белый интернет и там ходит много трафика (over 100 Гбит/с). И у нас действительно DPI, через кготорый надо пропускать трафик, на него нужно ответвлять условно 1% из 100 Гбит/с по подсетям. часть из этого трафика нужно пропускать, часть обрывать.
техниченски это можно сделать PBR-ом, но так как это выход во внешку, хотлеось бы понимать риски такой схемы. Не упадел ли вся "магистарль" при таком ответвлении.
SPAN не подойдет, так как надо воздействовать на трафик.
Wexter, а зачем еще один роутер? Разве нельзя поставить DPI между 1 и 2, в какой то отдельный линк (в условный 1G). На концах этого линка сделать сеть /30 и PBR-ом перенаправлять необходимый трафки с 1 на 2 (и наоборот) Пакеты будут прозходить через DPI в разрыв этого 1G линка.
Можно повесить на eth1 /31ую и сделать статический арп для ip на который будем редиректить.
Если есть цель "не менять заголовки" - то надо искать маршрутизатор с соотв. функционалом. Может заработает схема "миррорим на eth1 + вешаем егресс ацл на eth0, дропающий все подряд."
Вопрос слишком общий. Что-то конкретное ответить нельзя не зная модель оборудования.
